Vào ngày Apple ra mắt iOS 15, nhà nghiên cứu bảo mật người Tây Ban Nha, Jose Rodriguez đã tiết lộ cách vượt qua màn hình khóa của iPhone, kẻ tấn công có thể truy cập vào ứng dụng ghi chú của người dùng và thực hiện nhiều hành vi khác.
Jose Rodriguez cho biết anh đã công bố chi tiết về việc bypass màn hình khóa sau khi Apple có phản ứng xem nhẹ các vấn đề bypass màn hình khóa mà anh đã báo cáo với công ty vào đầu năm nay.
“Apple định giá báo cáo về các vấn đề như thế này lên tới 25.000 đô la cho các báo cáo vấn đề nghiêm trọng. Đối với báo cáo của Rodriguez chỉ được thưởng 5.000 đô la”.
Rodriguez đã đề cập đến các lỗ hổng bỏ qua màn hình khóa có mã định danh CVE-2021-1835 và CVE-2021-30699, được Apple vá vào tháng 4 và tháng 5.
Hai lỗ hổng này cho phép kẻ tấn công có thể truy cập các ứng dụng nhắn tin như Twitter, WhatsApp hoặc Telegram ngay cả khi điện thoại bị khóa [xem video minh họa].
Rodriguez cho biết Appple chỉ mới phát hành biện pháp giảm nhẹ cho lỗ hổng mà chưa có bản và đầy đủ và Apple cũng không trao đổi với anh ta về việc khắc phục nó như nào.
Do cách xử lý của Apple đối với báo cáo lỗi của mình, Rodriguez đã tiết lộ công khai một biến thể khác để bypass cho lỗ hổng. Biến thể sử dụng các dịch vụ Apple Siri và VoiceOver để bỏ qua khóa màn hình và truy cập đến ứng dụng Ghi chú. Từ đó có thể thực hiện các thao tác như gọi, nhắn tin, đọc ghi chú ...
Ngày 16/09/2021, Rodriguez đã thêm tên của mình vào danh sách các nhà nghiên cứu bảo mật đã chỉ trích Apple về cách họ xử lí chương trình bug bounty.
Một bài báo của Washington Post được xuất bản hai tuần trước có những cáo buộc tương tự từ các nhà nghiên cứu khác về việc nhóm nghiên cứu bảo mật của Apple đã mặc kệ báo cáo lỗi chưa được giải quyết trong nhiều tháng, gửi các bản sửa lỗi chưa hoàn thiện, phần thưởng thấp hoặc cấm các nhà nghiên cứu tham gia chương trình của Apple.
Nguồn: The record.
Tín nhiệm mạng | Google đã thông báo rằng tính năng bảo vệ quyền riêng tư của Android mới được phát hành gần đây sẽ được triển khai cho hàng tỷ thiết bị chạy các phiên bản Android vào cuối năm nay.
Tín nhiệm mạng | Nhóm Hacker Anonymous đã xâm nhập và đánh cắp cơ sở dữ liệu của Epik, một nhà cung cấp dịch vụ lưu trữ web và đăng ký tên miền cho nhiều trang web
Tín nhiệm mạng | FBI đang cảnh báo về xu hướng gia tăng đột biến của các vụ lừa đảo tình cảm trực tuyến trong năm nay đã khiến người Mỹ thiệt hại hơn 113 triệu đô la kể từ đầu năm 2021.
Tín nhiệm mạng | Vấn đề máy in yêu cầu thông tin đăng nhập của quản trị viên sau khi cài đặt bản vá PrintNightmare có thể giải quyết bằng cách đảm bảo các máy chủ in và máy khách cài đặt cùng phiên bản driver.
Tín nhiệm mạng | Hai nhà lập pháp hàng đầu trong hội đồng bảo vệ người tiêu dùng của Ủy ban Thương mại Thượng viện đang tiến hành một cuộc điều tra đối với Facebook sau khi The Wall Street Journal đưa tin rằng Facebook biết rằng Instagram có thể gây hại đối với các trẻ vị thành niên.
Tín nhiệm mạng | Bộ Tư pháp của chính phủ Nam Phi đang cố gắng khôi phục hoạt động của mình sau khi một cuộc tấn công ransomware gần đây đã mã hóa tất cả các hệ thống của họ, khiến tất cả các dịch vụ điện tử không còn hoạt động trong cả mạng nội bộ và bên ngoài.